Dağınık Örümcek olarak bilinen kötü şöhretli siber suç grubu, Kuzey Amerika’daki perakende, havayolu ve ulaşım sektörlerini hedefleyen saldırılarda VMware ESXI hipervizörlerini hedefliyor.
Google’ın maniant ekibi kapsamlı bir analizde, “Grubun temel taktikleri tutarlı kaldı ve yazılım istismarlarına güvenmiyor. Bunun yerine, bir BT yardım masasına telefon görüşmeleri merkezli kanıtlanmış bir oyun kitabı kullanıyorlar.” Dedi.
“Aktörler agresif, yaratıcı ve özellikle olgun güvenlik programlarını bile atlamak için sosyal mühendisliği kullanma konusunda yeteneklidir. Saldırıları fırsatçı değil, bir kuruluşun en kritik sistemlerine ve verilerine yönelik hassas, kampanya odaklı operasyonlardır.”
Ayrıca 0ktapus, karışık Terazi, Octo Tempest ve UNC3944 olarak da adlandırılan tehdit aktörleri, mağdur ortamlarına ilk erişim elde etmek için ileri sosyal mühendislik saldırıları yürütme geçmişine sahiptir ve daha sonra güvenilir idari sistemleri manipüle ederek ve VM yazılımı ortamına yönelik kontrollerini kullanarak bir “karma” (LOTL) yaklaşımı benimsemek.
Google, veri açığa çıkması ve fidye yazılımı dağıtımının doğrudan hipervizörden bir yol sağlayan yönteminin, güvenlik araçlarını atladığı ve az sayıda uzlaşma iz bıraktığı için “oldukça etkili” olduğunu söyledi.
Saldırı zinciri beş farklı aşamadan geçiyor –
- İlk uzlaşma, keşif ve ayrıcalık artışı, tehdit aktörlerinin BT belgeleri, destek kılavuzları, organizasyon grafikleri ve vSphere yöneticileri ile ilgili bilgileri hasat etmesine izin vermenin yanı sıra Hashicorp Vault veya diğer ayrıcalıklı erişim yönetimi (PAM) çözümleri gibi şifre yöneticilerinden kimlik bilgilerini numaralandırır. Saldırganların, yüksek değerli bir yöneticiyi taklit etmek ve hesabın kontrolünü ele geçirmek için bir şifre sıfırlaması talep etmek için Şirket’in BT yardım masasına ek çağrılar yaptıkları bulunmuştur.
- VSphere kimlik bilgilerine eşlenen Active Directory’yi kullanarak sanal ortama döner ve VMware VCenter Server Cihazına (VCSA) erişim elde etmek, daha sonra teleport, güvenlik duvarı kurallarını atlayan kalıcı ve şifreli bir ters kabuk oluşturmak için yürütülür
- ESXI ana bilgisayarlarında SSH bağlantılarının etkinleştirilmesi ve kök parolaları sıfırlama ve NTDS.DIT Active Directory Veritabanını çıkarmak için “disk-takma” saldırısı denilenleri yürütme. Saldırı, bir etki alanı denetleyicisi (DC) sanal makinesini (VM) güçlendirerek ve sanal diskini ayırarak, yalnızca kontrolleri altındaki başka bir şekilde takılmamış VM’ye takarak çalışır. NTDS.DIT dosyasını kopyaladıktan sonra, tüm işlem tersine çevrilir ve DC açılır.
- Kurtarmayı engellemek için yedekleme işlerini, anlık görüntüleri ve depoları silmek için erişimin silahlandırılması
- SCP/SFTP aracılığıyla özel fidye yazılımı ikililerini itmek için ESXI ana bilgisayarlarına SSH erişimini kullanarak
Google, “UNC3944’ün oyun kitabı, EDR tabanlı tehdit avından proaktif, altyapı merkezli savunmaya geçerek savunma stratejisinde temel bir değişim gerektiriyor.” Dedi. “Bu tehdit geleneksel Windows fidye yazılımlarından iki şekilde farklıdır: hız ve gizli.”
Teknoloji devi ayrıca tehdit aktörlerinin “aşırı hızını” çağırdı ve tüm enfeksiyon dizisinin veri eksfiltrasyonuna ve nihai fidye yazılımı dağıtımına ilk erişimden birkaç saat kısa bir süre içinde geçebileceğini belirtti.
Palo Alto Networks Unit 42’ye göre, dağınık örümcek aktörleri sadece sosyal mühendislikte usta olmakla kalmadı, aynı zamanda Dragonforce (Slippery Scorpius) fidye yazılımı programı ile ortaklık kurdu, bir örnekte iki günlük bir süre boyunca 100 GB’tan fazla veri açığa çıkardı.
Bu tür tehditlere karşı koymak için, kuruluşların üç koruma katmanı takip etmeleri tavsiye edilir –
- Vsphere kilitleme modunu etkinleştirin, ExecInstalledonly’yi zorunlu hale getirin, vsphere vm şifrelemesini kullanın, hizmet dışı bırakma eski VM’ler, yardım masasını sertleştirin
- Kimlik avına dirençli çok faktörlü kimlik doğrulama (MFA) uygulayın, kritik kimlik altyapısını izole edin, kimlik doğrulama döngülerinden kaçının
- Anahtar günlüklerini merkezileştirin ve izleyin, Yedekleri Üretim Active Directory’den izole edin ve tehlikeye atılan bir yöneticiye erişilemediklerinden emin olun
Google ayrıca kuruluşları, Ekim 2025’te Yaşam Sonu (EOL) ‘e yaklaşırken VMware VSphere 7’den geçiş yaparken sistemi güvence altına almaya çağırıyor.
Google, “ESXI ana bilgisayarları hem de vCenter Server da dahil olmak üzere vSphere altyapısına yönelik fidye yazılımı, acil ve yaygın altyapı felci kapasitesi nedeniyle benzersiz bir risk oluşturmaktadır.” Dedi.
Diyerek şöyle devam etti: “Bu önerilen hafifletmeleri uygulayarak bu birbirine bağlı riskleri proaktif olarak ele alamaması, kuruluşları tüm sanallaştırılmış altyapılarını hızlı bir şekilde sakatlayarak operasyonel bozulmaya ve finansal kayıplara yol açabilecek hedefli saldırılara maruz kalacaktır.”